Ecco cos’è successo al Pwn2own 2012

di
Pwn2own 2012, computer hacking contest, è concluso. Quest'anno vengono violati IE9, Chrome e Firefox. La sicurezza online è una pura illusione ?

Si è appena conclusa la manifestazione Pwn2own 2012. Durante i tre giorni si sfide, i quattro obiettivi sono stati Microsoft Internet Explorer, Apple Safari, Google Chrome e Mozilla Firefox, che sono stati installati all’interno di Windows 7 e Lion con tutti gli ultimi aggiornamenti di sicurezza. Ma la differenza tra il Pwn2own di quest’anno e il Pwn2own dell’anno scorso è abissale. Le regole sono cambiate ed hanno chiesto ai partecipanti di scrivere il più grande numero di exploit possibili per ogni browser. Altro cambiamento è stato il “mega premio” di Google, premi per l’ammontare di 1 milione di dollati per bucare Chrome. Il risultato ? Chrome è stato affondato nel corso della prima giornata della manifestazione ma non è stato l’unico, “cappello della vergogna anche a Internet Explorer e Mozilla Firefox”.

Internet Explorer

Un team di ricercatori francesi ha sfruttato due falle zero-day (difetti sconosciuti per cui non esiste una patch) per bypassare DEP e ASLR all’interno di un PC Windows 7 SP1 macchina per poi prendere un vantaggio quasi inattaccabile quest’anno al CanSecWest Pwn2Own. L’attacco ha richiesto una preparazione di circa sei settimane, identica quantità di tempo che è servita per mettere al tappetto Chrome il giorno di apertura. VUPEN, autori anche dell’attacco conclusosi con successo a Chrome, hanno detto d’aver voluto dimostrare che un vero hacker può bypassare tutte le protezioni di sicurezza, anche sui sistemi operativi più recenti. I ricercatori hanno avuto modo di discutere anche del nuovo Internet Explorer 10 promuovendolo a pieni voti per le nuove politiche sulla sicurezza di Microsoft.

Firefox

Anche Firefox, il browser prodotto da Mozilla Foundation, è stato messo a KO. Non si tratta di un attaccante bensi’ di due ricercatori, Willem Pinckaers e Vincenzo Iozzo che hanno vinto 30.000 $ utilizzando lo stesso exploit tre volte. E’ una tipologia di attacco “drive-by download”. Il primo attacco serve a catturare un pò di informazioni dopodichè queste informazioni servono a recuperare i veri dati, quelli interessanti.. Il terzo attacco è stato eseguito per eseguire codice all’interno della macchina vittima.

E Safari ? Sembra essere stato l’unico browser a non soccombere ma è molto probabile che questa inviolabilità sia dovuta allo scarso interesse dei partecipanti (n.b: nessuno ha tentato un exploit contro Safari).

Per approfondire: Canwest

Tag:
Topic: News

I commenti sono chiusi.